審査計画の提出時期
審査計画にも色々ある。
そもそもどの時期にやろうか、概ね何日掛かるのか。例えば、2月下旬に3日程度で済ませたい。トップの予定を確保するため、半年前くらいには決めてしまう。認証の期限の制約があるので、半年どころか、1年前から計画可能な日程となる。レベル1計画。
社内の年次イベントとの整合も既に終えている必要がある。
日程と受診部門を組み合わせた計画。部門の都合があるから調整に手間取る。1stドラフトは3ヶ月前には欲しい。確定まで最大1ヶ月。問題なければドラフトのまま即決定。
受診部門は、ISMSサイクルを意識してしっかりまわす。ミニマム2ヶ月。その時に、EXCISE(ごめんなさい)が出る可能性がある。調整が必要です。
枠の計画は大体3ヶ月前から。もっと早くても構わないが、多分、審査チームが確定していないでしょう。
枠が決まると、同時にファシリティの手当てが確定されるので、事務局は忙しい。ここでもEXCUSEの可能性がある。
.*.
トップ或いはセキュリティの責任者が強い会社ではこんな感じで進むが、事業優先・セキュリティは二の次の組織では、もっと複雑だ。
調整に手間取るだけでなく、途中からどんどん変更が入る。社外の組織とのやり取りだから過剰な変更は失礼なものだが、金を払っている自分たちはクライアントなんだという部分ばかりを意識すると悲惨な状況になる。
1)会社全体でISMSに取り組んでいない。
2)トップの関与が希薄。こういう会社は権限委譲も不明確なケースが多い。
3)事務局の力量が不足。順送りで担当するケースに多い。
4)全体に管理能力が低い。ベンチャー系では多い。
5)アンチISMSの存在。
大変なのは社内調整。事務局泣かせの部門は必ず1つや2つあるものだ。トップの意識によって反乱部門の数は変わる。ISOに懐疑的になれば調整は手間取る。
コンサルの苦労も同様だ。
.*.
トップにやる気が無いなら手を上げて欲しくない。担当としては正直そう思うね。トップと部門の間で非生産的な苦労をするだけ。事務局のお作りISMSが出来上がる。